ThinkPHP 8.x 框架入门与代码审计教学文档<\/strong><\/h2>
第一部分：ThinkPHP 基础与URL访问<\/strong><\/h3>
ThinkPHP（简称TP）是一个免费开源的、快速、简单的面向对象的轻量级PHP开发框架。<\/p>
1.1 环境与入口<\/strong><\/h4>

入口文件<\/strong>：通常是项目根目录下的 public\/index.php<\/code>。所有对应用的请求都会经过这个入口文件。<\/li>
基础URL格式<\/strong>：ThinkPHP遵循MVC（模型-视图-控制器）模式，其URL访问模式为： http:\/\/服务器地址\/入口文件\/控制器\/操作\/参数名\/参数值\/... <\/code><\/pre> index.php<\/code>：入口文件。<\/li> index<\/code>：模块（或应用）名，默认是 index<\/code>。<\/li> Index<\/code>：控制器名，对应 application\/index\/controller 目录下的 Index.php<\/code> 文件。<\/li> test<\/code>：操作名，对应 Index.php<\/code> 控制器类中的 test()<\/code> 公共方法。<\/li> <\/ul> <\/li> <\/ul> 1.2 参数传递方式<\/strong><\/h4> 文档中提到了三种常见的参数传递方式：<\/p> 方式一：传统GET传参<\/strong><\/p> 代码示例<\/strong>： public<\/span> function<\/span> test<\/span>() { <\/span><\/span> $name =<\/span> $_GET['chuan'<\/span>]; \/\/ 直接使用超全局数组获取参数 <\/span><\/span><\/span><\/span> return<\/span> 'hello '<\/span> .<\/span> $name; <\/span><\/span>} <\/span><\/span><\/code><\/pre><\/li> 访问URL<\/strong>： http:\/\/127.0.0.1\/xiaodi\/public\/index.php\/index\/index\/test?chuan=111<\/code><\/li> 特点<\/strong>：使用标准的 ?参数名=值<\/code> 格式，与框架路由无关。<\/li> <\/ul> 方式二：ThinkPHP Pathinfo传参（推荐）<\/strong><\/p> 代码示例<\/strong>： public<\/span> function<\/span> test<\/span>() { <\/span><\/span> $name =<\/span> input<\/span>('n'<\/span>); \/\/ 使用TP助手函数 input() 获取参数，更安全 <\/span><\/span><\/span><\/span> return<\/span> 'hello, '<\/span> .<\/span> $name; <\/span><\/span>} <\/span><\/span><\/code><\/pre><\/li> 访问URL<\/strong>： http:\/\/127.0.0.1\/xiaodi\/public\/index.php\/index\/index\/test\/n\/chuan<\/code><\/li> 特点<\/strong>：参数作为URL路径的一部分，更符合RESTful风格，是TP的默认推荐方式。<\/li> <\/ul> 方式三：使用Request对象<\/strong><\/p> 代码示例<\/strong>： public<\/span> function<\/span> test<\/span>(Request<\/span> $request) { \/\/ 依赖注入Request对象 <\/span><\/span><\/span><\/span> $name =<\/span> $request-><\/span>param<\/span>('n'<\/span>); \/\/ 通过Request对象的param方法获取 <\/span><\/span><\/span><\/span> return<\/span> 'hello, '<\/span> .<\/span> $name; <\/span><\/span>} <\/span><\/span><\/code><\/pre><\/li> 访问URL<\/strong>：与方式二相同。<\/li> 特点<\/strong>：面向对象方式，功能更强大，可以更方便地获取各种请求数据。<\/li> <\/ul> 1.3 跨控制器访问<\/strong><\/h4> 同模块，不同控制器<\/strong>：<\/p> 控制器文件：application\/index\/controller\/Test.php<\/code><\/li> 访问URL：http:\/\/127.0.0.1\/xiaodi\/public\/index.php\/index\/Test\/xd<\/code>（访问 Test<\/code> 控制器下的 xd<\/code> 操作）<\/li> <\/ul> <\/li> 不同模块，不同控制器<\/strong>：<\/p> 控制器文件：application\/test\/controller\/Xiaodi.php<\/code><\/li> 访问URL：http:\/\/127.0.0.1\/xiaodi\/public\/index.php\/test\/Xiaodi\/xd<\/code>（访问 test<\/code> 模块下的 Xiaodi<\/code> 控制器中的 xd<\/code> 操作）<\/li> <\/ul> <\/li> <\/ul> 第二部分：数据库操作与安全<\/strong><\/h3> 数据库配置通常位于 config\/database.php<\/code> 文件中。<\/p> 2.1 三种数据库查询方式<\/strong><\/h4> 方式一：原生SQL查询（易产生SQL注入）<\/strong><\/p> 代码示例<\/strong>： public<\/span> function<\/span> login_check<\/span>(){ <\/span><\/span> $id =<\/span> $_GET['id'<\/span>]; \/\/ 直接获取用户输入，极度危险 <\/span><\/span><\/span><\/span> $sql =<\/span> "select * from cw_admin where id=<\/span>$id<\/span>"<\/span>; \/\/ 直接拼接SQL语句 <\/span><\/span><\/span><\/span> $data =<\/span> mysqli_query<\/span>($sql); \/\/ 执行查询 <\/span><\/span><\/span><\/span> echo<\/span> $data['pass'<\/span>]; <\/span><\/span>} <\/span><\/span><\/code><\/pre><\/li> 风险<\/strong>：直接将用户输入的 $id<\/code> 拼接到SQL语句中，攻击者可以构造恶意参数（如 id=1 OR 1=1<\/code>）进行SQL注入攻击，获取敏感数据。<\/li> <\/ul> 方式二：ThinkPHP安全查询（使用预编译，推荐）<\/strong><\/p> 代码示例<\/strong>： public<\/span> function<\/span> login_check1<\/span>(Request<\/span> $request){ <\/span><\/span> $id =<\/span> $request-><\/span>param<\/span>('i'<\/span>); <\/span><\/span> \/\/ Db::table 方式，where('字段名', '值') 会自动使用参数绑定 <\/span><\/span><\/span><\/span> $data =<\/span> Db<\/span>::<\/span>table<\/span>('cw_admin'<\/span>)-><\/span>where<\/span>('id'<\/span>, $id)-><\/span>find<\/span>(); <\/span><\/span> echo<\/span> $data['pass'<\/span>]; <\/span><\/span>} <\/span><\/span><\/code><\/pre><\/li> 访问URL<\/strong>：http:\/\/127.0.0.1\/xiaodi\/public\/index.php\/index\/Login\/login_check1\/i\/1<\/code><\/li> 安全原理<\/strong>：TP框架底层会将这种写法转换为预编译SQL语句，将用户输入的数据当作纯数据处理，而不是可执行的SQL代码，从而有效防止SQL注入。<\/li> <\/ul> 方式三：ThinkPHP不安全查询（字符串拼接，危险）<\/strong><\/p> 代码示例<\/strong>： public<\/span> function<\/span> login_check2<\/span>(Request<\/span> $request){ <\/span><\/span> $id =<\/span> $request-><\/span>param<\/span>('i'<\/span>); <\/span><\/span> \/\/ where("条件字符串") 方式，如果字符串中包含变量拼接，同样存在注入风险 <\/span><\/span><\/span><\/span> $data =<\/span> Db<\/span>::<\/span>table<\/span>('cw_admin'<\/span>)-><\/span>where<\/span>("id = <\/span>$id<\/span>"<\/span>)-><\/span>find<\/span>(); \/\/ 危险！ <\/span><\/span><\/span><\/span> echo<\/span> $data['pass'<\/span>]; <\/span><\/span>} <\/span><\/span><\/code><\/pre><\/li> 风险<\/strong>：虽然使用了TP的数据库类，但由于采用了字符串内直接拼接变量 $id<\/code> 的方式，其安全风险与原生SQL查询相同。这是TP代码审计中需要重点关注的危险写法。<\/strong><\/li> <\/ul> 第三部分：ThinkPHP框架代码审计要点<\/strong><\/h3> 根据原文内容，可以总结出以下审计关键点：<\/p> 3.1 SQL注入漏洞审计<\/strong><\/h4> 高危模式<\/strong>：在模型或Db类操作中，where()<\/code> 方法内使用字符串直接拼接用户输入。 ->where("id = $id")<\/code><\/li> ->where("name LIKE '%".$name."%'")<\/code><\/li> <\/ul> <\/li> 安全模式<\/strong>：使用参数绑定的方式。 ->where('id', $id)<\/code><\/li> ->where('name', 'like', "%$name%")<\/code>（注意：Like查询需确保变量被正确转义或绑定，高版本TP已做处理，但审计时仍需留意复杂情况）<\/li> <\/ul> <\/li> <\/ul> 3.2 其他常见漏洞审计方向<\/strong><\/h4> 虽然原文未深入提及，但在TP框架审计中还需关注：<\/p> 输入验证与过滤<\/strong>：检查是否使用 input()<\/code> 函数的过滤功能（如 input('param.name\/s')<\/code> 强制转换为字符串）或 Request<\/code> 对象的 filter<\/code> 方法对用户输入进行过滤。<\/li> 命令执行<\/strong>：查找 exec()<\/code>, system()<\/code>, shell_exec()<\/code> 等函数，其参数是否由用户可控。<\/li> 文件操作<\/strong>：检查文件包含（include<\/code>, require<\/code>）、文件上传、文件读取等操作，用户输入的参数是否被安全地过滤。<\/li> 模板注入<\/strong>：如果项目使用了TP的模板引擎，检查是否允许用户控制模板内容。<\/li> <\/ul> 第四部分：实战案例——CMS漏洞复现思路<\/strong><\/h3> 原文提到“cms代码审计框架小迪漏洞复现”，这是一个典型的白盒审计流程：<\/p> 环境搭建<\/strong>：下载目标CMS（如某个基于ThinkPHP开发的系统）并配置好本地测试环境。<\/li> 功能点分析<\/strong>：浏览CMS的前后台功能，寻找与用户交互密切的点，如：登录、搜索、订单查询、文章展示等。<\/li> 代码追踪<\/strong>：以“搜索功能”为例，在前台搜索框输入关键词并抓包，找到对应的参数（如 keywords<\/code>）。<\/li> 根据URL路由规则（如 \/index\/search\/index<\/code>）找到对应的控制器文件（application\/index\/controller\/Search.php<\/code>）和操作方法（index()<\/code>）。<\/li> 在方法中查看 keywords<\/code> 参数是如何被接收和使用的（是直接用 $_GET<\/code> 还是 input()<\/code>？）。<\/li> 追踪 keywords<\/code> 变量被传递到哪个数据库查询方法中，检查查询的写法是否安全（即第二部分中的方式二 vs 方式三）。<\/li> <\/ul> <\/li> 漏洞验证<\/strong>：如果发现不安全的写法，构造特殊的Payload（如搜索关键词 ' AND (SELECT 1 FROM (SELECT SLEEP(5))a)-- <\/code>）进行延时注入测试，验证漏洞是否存在。<\/li> 总结报告<\/strong>：记录漏洞位置、成因、利用方式及修复建议。<\/li> <\/ol> 总结<\/strong><\/h3> 本教学文档从ThinkPHP框架的基础URL访问和数据库操作讲起，重点剖析了安全与不安全的编码实践，并系统性地介绍了代码审计的核心要点。关键在于：<\/p> 理解框架机制<\/strong>：掌握TP的MVC路由和参数获取方式。<\/li> 树立安全意识<\/strong>：明确SQL注入等漏洞的产生根源在于“不可信的用户输入”与“代码\/指令”的拼接。<\/li> 掌握审计模式<\/strong>：在审计时，像侦探一样追踪用户输入的数据流，最终判断它是否被“安全地”使用。<\/li> <\/ol> 希望这份详尽的文档能帮助您系统地学习ThinkPHP框架及其安全审计知识。<\/p>